Windows Azure Virtual Network (12) 虚拟网络之间点对点连接VNet Peering

　　《Windows Azure Platform 系列文章目录》

 

　　在有些时候，我们需要通过VNet Peering，把两个虚拟网络通过内网互通互联。比如：

　　1.在订阅A里的Virtual Network，部署了CRM系统

　　2.在订阅B里的Virtual Network，部署了Order系统

　　3.需要通过CRM系统，通过内网传输，获取到Order系统里面的订单信息

　　

　　如果没有VNet Peering的话，我们只能把Order系统里面的虚拟机，设置公网地址，然后通过设置网络安全组(NSG)的IPV4访问白名单，允许CRM系统的公网IP

　　但是这样的代价也太大了。

 

　　通过使用Azure VNet Peering，我们可以：

　　1.把同一个订阅里面的两个不同的Virtual Network，通过内网互通互联

　　2.在同一个企业合同(EA)下，把不同订阅的Virtual Network，通过内网互通互联

　　3.跨企业合同(EA)下，把不同订阅的Virtual Network，通过内网互通互联

　　4.请注意：两个需要Peering的Virtual Network，IP Range不能重叠

 

　　在这里笔者介绍Azure Virtual Network Peering的两种使用场景：

　　1.不同订阅的Virtual Network之间，内网互通互联。如下图：

　　

　　

　　2.一边是Virtual Network，一边是Virtual Network和Express Route Gateway

　　Project B通过ER Gateway网关，链接到IDC内网的应用。如下图：

　　

　　接下来开始演示内容：　

　　一.不同订阅的Virtual Network之间，内网互通互联

　　

　　我们先准备以下内容：

　　1.在A订阅里面，创建Virtual Network, 名称为A-VNet，IP Rang为172.0.0.0/24。图略

　　2.在B订阅里面，创建Virtual Network, 名称为B-VNet，IP Rang为172.0.1.0/24。图略

　　3.在上面2个VNet里面，分别创建2台Windows VM。这两台VM的IP分别为172.0.0.4和172.0.1.4。图略

　　4.我们首先通过远程桌面连接RDP到这2台VM，关闭Windows防火墙。然后分别通过ping命令，ping对方的内网IP地址。肯定是ping不通的。

　　5.我们首先需要设置，从A-VNet (172.0.0.0/24) 到 B-VNet (172.0.1.0/24)的Peering。

　　在A-VNet里面，选择Peerings，然后点击下图的Add按钮

　　

　　6.界面跳转，我们设置如下内容：

　　Name设置Peering的名称，为AtoB-Peering

　　在Subscription里面选择订阅

　　在Virtual Network选择需要链接的虚拟网络

　　在Configuration里面，勾选Allow Forwarded Traffic

　　

　　请注意上图中，因为我们是在同一个EA下面的2个订阅，所以可以通过Subscription下拉框选择到相应的订阅

　　如果我们想跨EA设置VNet Peering。我们可以手动输入需要链接的Virtual Network的资源ID。如下图：

　　

 

　　7.设置完毕后，从A-VNet到B-VNet的Peering设置成功了。我们还需要设置从B-VNet到A-VNet的Peering。　　

　　我们在B-VNet里面，选择Peerings，然后点击下图的Add按钮

　　

　　

　　8.界面跳转，我们设置如下内容：

　　Name设置Peering的名称，为BtoA-Peering

　　在Subscription里面选择订阅

　　在Virtual Network选择需要链接的虚拟网络

　　在Configuration里面，勾选Allow Forwarded Traffic

　　

 

　　9.设置成功后，我们查看两台VM的Ping命令。如下图：

　　

　　可以看到，已经可以从A VM (192.168.0.4)，ping到B VM(192.168.1.4)。就实现了这2个Virtual Network之间的内网互通互联。

 

 

　　然后我们开始第二部分：

　　一边是Virtual Network，一边是Virtual Network和Express Route Gateway

　　Project B通过ER Gateway网关，链接到IDC内网的应用。如下图：

　　

　　在Project B订阅里面：

　　1.创建一个Virtual Network，我们命名为A-VNet，和一台VM

　　2.请注意：这个订阅里面，不包含Express Route Gateway网关，或者其他VPN网关

 

　　在Shared Gateway订阅里面：

　　1.创建Virtual Network, 我们命名为ER-VNet，Gateway Subnet，Express Route Gateway

　　2.请注意：在这个订阅里面，包含Express Route Gateway网关

　　

 

　　1.我们在Project B的订阅里面，选择Peerings，然后点击Add按钮。图略

　　2.从Project B到Express Route Gateway的Peering，请按照下图设置：

　　Allow Forwarded Traffic，允许从Project B到Express Route Gateway的流量

　　Use Remote Gateways，设置Project B使用远端Express Route的Gateway

　　

 

　　3.然后我们在Express Route的订阅里，选择Peerings，然后点击Add按钮。图略

　　4.从Express Route，到Project B的Peering，请按照下图设置

　　Allow Forwarded Traffic，允许从Express Route Gateway到Project B的流量

　　Allow Gateway Transit，允许Project B的流量，从Express Route Gateway穿透